Im Juli 2020 sorgte ein Cyberangriff auf das schweizerisch-amerikanische Unternehmen Garmin für Aufsehen. Besitzer konnten ihre Fitness-Smartwatches von Garmin nicht mehr synchronisieren. Telefon- und Mailsystem des Unternehmens fielen aus. Auch die Luftfahrt war durch den Ausfall der Software Flygarmin betroffen.

Vermutet wurden hinter dem Angriff die Hacker-Gruppe Evilcorp und der Einsatz der Ransomware "Wastedlocker". Schon bald hiess es, dass Garmin seinen Erpressern via ein Drittunternehmen mehrere Millionen Dollar bezahlt habe, um den Schlüssel für die Entschlüsselung seiner Systeme zu erhalten. Die Zahlung sei über das Security-Unternehmen Arete Incident Response erfolgt.

Ein Urteil des Schweizer Bundesgerichts bestätigt jetzt die Lösegeldzahlung. "Die Klägerin (Garmin) sah sich gezwungen, den Betrieb ihrer Callcenter, Webseiten und einiger Online-Dienste einzustellen. Ein Dechiffriercode (um die verschlüsselten Dateien wieder verwenden zu können) wurde von den Angreifern erst nach Zahlung eines Lösegelds in Höhe von 1500 Bitcoins in Aussicht gestellt", heisst es im Urteil. Dies entsprach damals ungefähr 13,5 Millionen Franken.

Garmin beauftragte laut Bundesgericht "eine auf Risikomanagement spezialisierte Firma" mit den Verhandlungen und wandte sich an seine Versicherer, um eine Rückerstattung der Lösegeld-Summe zu erhalten. Die Garmin-Systeme waren 5 Tage blockiert, was dem Unternehmen einen geschätzten Schaden von 15 Millionen US-Dollar verursachte.

Eine der Versicherungen – eine britische Gesellschaft – weigerte sich zu zahlen. "Die Klägerin ist gegen Cyberangriffe versichert, wobei die Beklagte Mitversicherin der Police ist. Gemäss der Police ist jede Versicherung gemeinsam mit den anderen, aber nicht solidarisch für ihren gezeichneten Anteil leistungspflichtig. Die Beklagte verweigerte als Einzige die Zahlung", so das Urteil.

Die Versicherung berief sich auf einen Vorbehalt im Versicherungsvertrag, der Leistungen ausschliesst, wenn dadurch Sanktionen durch die US-Behörden drohen. Sie ging ebenfalls davon aus, dass der Angriff von Evilcorp durchgeführt wurde.

Es handelt sich dabei um eine Gruppe russischer Hacker, die auf einer Sperrliste des US-Finanzministeriums standen. Die Versicherung stützte ihre Annahme auf die Ransomware Wastedlocker, die der von dieser Gruppe verwendeten Malware ähnlich ist und auf die an den Tag gelegte Vorgehensweise.

Diese Begründung wurde vom Zürcher Handelsgericht zurückgewiesen. Es erachtete die vom Versicherer herangezogenen Indizien nicht als unwiderlegbare Rückschlüsse auf die Beteiligung von Evilcorp.

Die Beschwerdeführerin behaupte zwar einige Übereinstimmungen zwischen den Ransomwares sowie der Modi Operandi. Es bleibe aber bei unsubstantiierten Behauptungen, schreibt das Bundesgericht. Insbesondere fehle es an konkreten Ausführungen zum Cyberangriff. Das Gericht urteilt, dass der Vergleich der Programmcodes "nämlich auf der Prämisse basiere, dass die Ransomwares – auch nachdem sie bereits im Umlauf seien – exklusiv von derjenigen Gruppe eingesetzt und weiterentwickelt würden, die sie auch ursprünglich programmiert haben". Zudem sei nicht nachgewiesen, dass eine Versicherungsleistung an Garmin zu einer Sanktion durch die Amerikaner führen würde.

Das Bundesgericht stützt sich in seinem Entscheid auf die Argumentation des Handelsgerichts. Es hat die Rügen des Versicherers abgewiesen.